"ARP-SPOOFING CON CAIN Y ABEL."

19:49:00

"ARP-SPOOFING CON CAIN Y ABEL."

para utilizar la antes mencionada herramienta del titulo, tendremos que hacer un repaso por el protocolo ARP, pues lo que haremos es falsificar algunas entradas arp en la victima y desde aqui efectuar un ataque de hombre en el medio.

un ataque de hombre en el medio es como su nombre lo dice, poneros en medio para que el trafico pase por nosotros y redirigirlo de nuevo alas victimas para que la comunicacion no se altere, de esta manera nadie nos captara.
el protocolo ARP busca mediante un broadcast con direccion MAC de destino hacia todos los host posibles mediante un paquete llamado ARP REQUEST o de requerimiento, entonces, el destino acepta la solicitud y envia de vuelta un ARP-REPLY con su respectiva direccion ip de esa maquina.

Cada maquina tiene una memoria cache con las direcciones previamente traducidas para reducir la latencia y el retardo de los mensajes de requerimiento de las direcciones a buscar,

lo malo de todo esto es que pasado un tiempo especifico , la memoria se borra para agregar nuevas direcciones por diferentes causas como pueden ser agregar nuevas interfaces de red , nuevo hardware, etc.
y aqui en esta parte viene la explicacion fascinante de todo esto, este mecanismo no tiene un tipo de seguridad que la memoria autentique a la otra maquina o al destino desde donde se agrego dicha direccion.

con esto nosotros podemos engañar ala victima , haciendole creer que tenemos una cierta direccion con el que el origen se quiere comunicar , esta direccion falsa responderia con un ARP-REPLY y automaticamente al cabo de algun tiempo , esta misma direccion falsa, se guardaria en la memoria cache arp de la maquina victima 1 y la otra direccion falsa en la cache de la victima 2, una analogia con la vida real seria que nos metemos en la conversacion de dos personas llamadas luis y anna, a luis le decimos que somos anna y a anna le decimos que somos luis, esto los confundira y podremos escuchar toda la conversacion que no nos corresponde, claro y antes de esto tendremos que redirigir todo para que anna y luis no se den cuenta que estan frente a una conversacion espiada, de otra forma provocaremos una caida en la conversacion o lo que comunmente se denomina ataque dos, denial of service.

asi se ve un paquete arp cuando viaja sobre la red.

el tipo de hardware es el que se especifica en que tipo de red se esta viajando el dicho paquete, el tipo de protocolo indica algunos protocolos con el que arp puede trabajar en conjunto.

veamos un poco sobre que tipo de red , puede trabajar:

dependiendo del numero del valor HRD en el paquete arp sera el tipo de red sobre la que nos encontramos en un momento dado de la auditoria de seguridad , esto aunque no lo parezca tambien nos da una mayor informacion, por ejemplo que cada tipo de red funciona de una manera un poco distinta, tiene mas retardos, menos latencia, menor timeout, diferentes mecanismos etc, si conocemos cada valor o tratamos de aprendernoslo entonces, cuando veamos uno de estos valores, podremos casi con certeza saber en que red nos encontramos e ir construyendo un mapa mental de toda la estructura de la misma red.

todo esto nos servira de mucho ya que podremos visualizar como esta trabajando nuestro ataque tras bambalinas con el poderoso sniffer wireshark.

vamos a verificiar la cache de las victimas:

primero vamos a verificar el cache de la victima 1 aver que nos muestra:

VICTIMA 1 ---------> 192.168.0.2 CON DIRECCION MAC ----->00:21:9B:4A:F4:98
VICTIMA 2 ---------> 192.168.0.3 CON DIRECCION MAC --------> 78:2b:cb:88:13:87
ATACANTE ---------> 192.168.0.9 CON DIRECCION MAC --------->00:0C:29:19:F4:4D

vamos a checar las tablas arp de las diferentes victimas asi como las del atacante:
vamos entonces a checar ala victima 1 :

ahora nos vamos ala victima 2 para visualizar su tabla arp:

ahora vamos a suponer que la victima 2 se quiere conectar por un servicio vnc a la victima 1 y ala misma vez vamos a encender nuestro cain y abel y lanzar el ataque:

como podemos observar la interfaz es bastante completa, puesto que con nuestro ataque , podremos capturar datos de inicio de sesion en diferentes servicios, vnc, sshv1, telefonia por internet o mejor conocida como VOIP, decodificacion de protocolos, RDP e incluso hashes de kerberos y tickets de servidores radius enterprise.

ahora nos vamos ala ventana inferior que dice ARP, y clikeamos en el centro y despues en el simbolo de + en la ventana superior.

las ventanas que he remarcado en rojo son las mas importantes para configurar el ataque.
despues de esto, nos tira un aviso que dice que es peligroso efectuar este ataque, que tendremos la posibilidad de secuestrar conexiones, provocar caidas en servidores, redes, etc.

le damos en ok e inmediatamente nos comienza a snifear todo el traifico, ademas esta herramienta puede capturar todo tipo de hash o de certificados digitales, para despues falsificarlos e inyectarlos.
aca tenemos ya un trafico espiado, vamos a mirar a ver que tal:

ahora vamos agregar la otra victima, para ver que tiene que decir para nosotros:

ahora si , ya tenemos las dos victimas para capturar todo su trafico que pasa entre ellas.
veamos que mas podemos hacer con tal trafico.
un aspecto muy importante que tenemos que cuidar es que tenemos que redirigir todo el trafico a su correspondiente gateway, si no, estariamos efectuando una caida en las comunicaciones y el administrador del sistema o los usuarios lo notarian casi al instante.
ahora se deberia de ver algo asi con su respectivo gateway cada victima, asi como la conexion entre ellas.

ahora si, ya podemos iniciar la intercepcion.

mientras estaba navegando por la red, me encontre un site que no cifra sus datos de envio hacia el servidor por lo que un atacante pudiera capturar el trafico en tiempo real sin cifrar, por esto es importante implementar las ultimas versiones de openssl, ala vez que escribo estas lineas, estoy avisandole al admin de este problema.

creo que es mucho cain y abel por hoy, en sucesivas investigaciones realizare mas practicas pero enfocado ala intercepcion de otros protocolos que soporta la suite.
aqui esta el sniffeo en wireshark, podemos ver que con un filtro de wireshark podremos detectar facilmente este atraque , pues podremos analizar que las direcciones de red tienen la misma direccion MAC, lo que es algo tremendamente raro.

aunque es un ataque muy efectivo, ya casi algunas herramientas lo detectan rapidamente pues observan si dos direcciones ip tienen la misma direccion MAC, si este es el caso pues estamos frente a un ataque arp.
nos vemos en la proxima, me despido con estas imagenes del reporte al web site para que implementen el cifrado ssl en las comunicaciones de cliente-servidor.